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AT BE CH DE ES FR GB IT LI LU NL SE 



© Verfahren zur Programmlerung von Chipkarten. 

© Bekannte Chipkarten konnen nach der erstmali- 
gen Festlegung der Anwendungsbereiche nicht mehr 
verandert werden. Dieses Verfahren ist geeignet, 
eine nachtragliche Erweiterung der Anwendungsbe- 
reiche der Chipkarte zu ermoglichen ohne die Si- 
cherheit dieser zu beeintrachtigen. 

Es werden nur die momentan benotigten Spei- 
cherbereiche fur die entsprechenden Anwendungs- 
bereiche geladen und danach durch Kontrollflags 
alle Speicherbereiche gegen unbefugtes Beschrei- 
ben Oder Andern gesichert. Eine Erweiterung der 
Anwendungsbereiche kann nur durch authorisierte 
Stellen erfoigen. 

Diese Erfindung ist fur alle Anwendungsbereiche 
multifunktionaler Chipkarten einsetzbar. 
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Verfahren zur Programmierung von Chipkarten 



Die Erfindung betrifft ein Verfahren zur Pro- 
grammierung von Chipkarten fur mehrere Anwen- 
dungen. 

Bekannte Chipkarten werden vor ihrem ersten 
Gebrauch fur die vorgesehenen Anwendungsberei- 
che erschlossen, indem in die, fur diese Bereiche 
vorgesehenen Speicher der Chips Anwenderrouti- 
nen geladen werden. Diese erstmalige Program- 
mierung ist nicht mehr anderbar, da hinsichtiich 
der Anwendersicherheit ROM-Speicher verwendet 
werden. 

Eine Anderung der Anwendungsmogfichkeiten 
der Chipkarten ist dann nicht mehr moglich. 

Die Problematik des Herstellers Oder der Kar- 
tenausgabestelle dieser Karten besteht also darin, 
da/3 in der Regel nicht bekannt ist, welche Anwen- 
dungen vom Karteninhaber in Laufe Dauer der Nut- 
zung der jeweiligen Karte sich andern konnen. 

Bei einer Veranderung oder/und Erweiterung 
der Anwendungsbereiche durch den Karteninhaber 
mu/3 eine neue Chipkarte gefertigt und program- 
miert werden. 

Die Erfindung hat die Aufgabe, ein Verfahren 
anzugeben, mit dem die Karten auch nach einer 
Erstprogrammierung geandert oder weiteren neuen 
Anwendungsbereichen zugangfich gemacht werden 
kann ohne da/3 dies der Sicherheit der Karte ab- 
traglich ist. 

Die Losung dieser Aufgabe ist als die Erfin- 
dung in dem kennzeichnenden Teil des Hauptan- 
spruchs beschrieben. 

Weitere vorteilhafte Ausgestaltungen dieser Er- 
findung sind in den Unteranspruchen naher ge- 
kennzeichnet. 

Der Kartenherausgeber, bzw. die Stelle, bei der 
die Karte erstmals personalisiert wird, verfugt in 
der Regel uber ein Instrumentarium (kryptologische 
Funktionen), urn Verwaltungsfunktionen mit der 
Karte auszufuhren. Dieses kann auch fur die Kon- 
trolle der Ladbarkeit neuer Anwendungen verwen- 
det werden. 

Der eigentfiche Mechanismus besteht darin, 
da/J der Kartenherausgeber (bzw. eine Kontrollin- 
stanz) in einer Anwendung, die bei der Erstperso- 
nalisierung in die Karte programmiert wird, ein 
Kontroll-Flag fur diese und jede mogliche nachlad- 
bare Anwendung setzt. 

Diese Kontro/I-Flag ist der eigentliche Bestand- 
tei! des Mechanismus. Es kann nur durch den 
Kartenherausgeber (bzw. eine Kpntrollinstanz) und 
mit dessen Verwaltungsfunktionen in den 
"nachladen erlaubt." - Zustand gesetzt werden. Da- 
nach ist das Laden der gewunschten Anwendungen 
moglich. Durch die Programmierung dieser Anwen- 
dungen wird das Kontroll-Flag zuruckgesetzt. 



Ein weiteres Oberschreiben des nun einpro- 
grammierten Programmes ist nicht moglich. Auch 
das einmalige Programmieren kann zusatzlich mit 
einer Schutzfunktion abgesichert sein. die jedoch 
5 unabhangig von der Verwaltungsfunktion der Kar- 
tenherausgeber (bzw. der Kontrollinstanz) sein soll- 
te, urn die Sicherheitsverantwortung fur die ge- 
samte Karte immer beim Kartenherausgeber (bzw. 
der Kontrollinstanz) zu belassen. 
w Der Kartenherausgeber (bzw. die Kontrollin- 

stanz) kontrolliert somit stets, wieviele Anwendun- 
gen insgesamt auf der Karte eingebracht werden, 
und verfugt uber das Wissen, welche Karten uber- 
haupt fur die Einbringung vorbereitet wurden. 
15 Es ist mit diesem Mechanismus moglich, die 

Karte zunachst nur mit einer Anwendung zu produ- 
zieren, aber auf Wunsch des Kartenbesitzers spa- 
ter, mitteJs der Verwaltungsfunktionen fur die Ein- 
bringung einer zusatzlichen Anwendung zu aktivie- 
20 ren. Auch ein Mechanismus zum Loschen eines 
Anwendungsbereiches. der ebenfalls Uber die Ver- 
waltungsfunktion abgesichert sein sollte, ist hier- 
durch denkbar und sinnvoll, urn grofltmogliche Fle- 
xibility zu gewahrleisten. 
25 Wichtig fur die Sicherheitskonzeption einer sol- 

chen Multifunktionskarte ist. dai3 stets der Heraus- 
geber der Karte (bzw. die Kontrollinstanz) die Kon- 
trolle uber die Einbringung aller Anwendungen auf 
die Karte besitzt, und somit das jeweilige Sicher- 
30 heitskonzept fur die Karten verwaltung vollig unab- 
hangig von der Programmierung der verschiedenen 
Anwendungen bleibt. 



35 Anspruche 

1 . Verfahren zur Programmierung von Chipkar- 
ten fur mehrere Anwendungen und dadurch mehre- 
re nichtfluchtig beschreibbare Speicherberetche 
40 beinhaltend, 

dadurch gekennzefchnet, 

da/3 immer nur die momentan benotigten Speicher- 
bereiche geladen werden und die Speicherbereiche 
durch ein internes Kontrollflag gegen Beschreiben 
45 dieser Speicherbereiche gesichert sind. 

2. Verfahren nach Anspruch 1, dadurch ge- 
kennzeichnet, 

daj3 nur eine Kontrollinstanz die Kontrollflags aufhe- 
ben kann und die einzelnen Speicherbereiche zu- 
50 satzlich neu beschreiben kann. 

3. Verfahren nach Anspruch 2, dadurch ge- 
kennzeichnet, 

da/3 eine kryptologische Funktion zur Aufhebung 
und zum Setzen der Kontrollflags dient. 

4. Verfahren nach Anspruch 1, dadurch ge- 
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kennzeichnet, 

da/J anhand der Kontrollflags erkannt wird, fur wei- 
che Anwendungsbereiche die Chipkarte erschlos- 
sen ist. 

5. Verfahren nach Anspruch 2, dadurch ge- 
kennzeichnet, 

da/3 die Kontrollinstanz eine Kartenausgabestelle 
ist. 
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